Fare domande a caso da una serie di domande invece di una password?

1

Ci stavo pensando per un po '. Supponiamo di avere un'app per la quale esiste una console di amministrazione e dobbiamo fornire l'accesso alla console di amministrazione tramite il browser (sì, HTTPS).

Per l'autenticazione, invece di chiedere una password, sarebbe più sicuro?

  1. Preparare una serie di domande molto insolite di ambito molto ampio, le risposte a cui difficilmente potrebbero piacere amici o familiari. E almeno è lecito ritenere che nessuno possa conoscere la risposta a tutte queste domande del tutto. Queste domande possono essere cose come cose minori che accadono nella tua vita e non contano abbastanza da dirlo a nessuno.
  2. Memorizza le risposte a queste domande in una forma normalizzata. Quindi ritaglia gli spazi bianchi, rimuovi la punteggiatura, ecc. E li salda come se li stessi facendo con le password.
  3. Al login, fai queste domande in ordine casuale (e chiedi solo una parte delle domande, in modo che il set sia diverso la prossima volta che l'hacker tenta di accedere). Alla fine, verifica tutte le risposte insieme e, se sono valide, registra l'utente.

Mi chiedo se questo sarà più sicuro dei metodi attuali in circolazione. In caso contrario, c'è qualcosa che mi manca?

    
posta Rob 01.03.2015 - 12:47
fonte

2 risposte

4

Alcuni problemi con questo:

  • La registrazione richiederebbe molto tempo. Questo sarebbe un deterrente importante per molti siti Web.
  • Privacy, ottieni molte informazioni su qualcuno e se non è qualcosa che tutti conoscono, ovviamente è personale. Una cosa è se il tuo piano delle password finisce per strada, è un altro quando riesco a scoprire tutti i tipi di curiosità sulla vita personale di qualcuno. Il che mi porta al prossimo punto.
  • Riutilizzo. Per le password almeno hai la possibilità di usarne una diversa, ma le risposte alle domande non cambieranno per il prossimo sito. Se più siti web lo farebbero e ne venisse tagliato uno solo, cosa impedirà a chiunque di accedere a sinistra e a destra? O anche amministratori malintenzionati che guardano le risposte, prima dell'hashing o dopo qualche forma di attacco bruteforce.
risposta data 01.03.2015 - 15:52
fonte
4

Beh, dovrei dire che questo è meno sicuro di una password standard anche se una prima occhiata mostra che l'entropia sarà molto più grande

  1. Stai limitando le risposte alle "parole del dizionario" e più spesso di un piccolo sottogruppo di esse (ad esempio, quale sarebbe stato il tuo cibo infanzia favuta avrebbe meno di 20.000 opzioni possibili e direi che il cioccolato o il gelato avrebbero colpito il 90% )
  2. Questo è aperto all'ingegneria sociale (se chiedi a qualcuno la loro password, diranno di no, se chiedi a qualcuno di cui si innamorano per la prima volta risponderanno)
  3. Probabilmente le risposte possono essere recuperate dai social media (ad esempio, un post di Facebook con una foto del tuo primo cane)
  4. Ci saranno molti errori umani all'entrata nel caso in cui le domande siano troppo specifiche (ad esempio, chi hai parlato per prima cosa la mattina del 7 gennaio 2013)
  5. L'immagazzinamento di tali oggetti sarà complicato perché dovrai essere caso e spazio bianco insensibile ed è una pessima idea archiviarlo semplicemente in testo normale o qualcosa che ovviamente decifri in grado di farlo)
  6. Stai rompendo le percezioni dell'utente sulla sicurezza (mi sentirei a disagio nel chiedere una serie di dettagli personali e non avere un'opzione per una password alfanumerica di 27 caratteri)
    1. Come diavolo hai ripristinato qualcosa del genere? (nel caso in cui le domande siano troppo difficili da ricordare e l'utente voglia ripristinare il proprio token di autenticazione)
risposta data 02.03.2015 - 08:52
fonte

Leggi altre domande sui tag